用于智能变电站的网络风暴实时快速检测方法

摘要

本发明公开了一种用于智能变电站的网络风暴的实时快速的检测方法，包括以下步骤：在报文记录和分析装置中，利用已有的报文分析结果，从中选取两个能表征报文特征的信息做为检测项；将两个检测项分别进行哈希运算，并将运算结果合并成16bit特征值；统计检测时间窗内每个网络端口收到的具有相同特征值的报文流量；当超出预定告警阈值时，即认为是网络风暴；在检测窗结束时置统计复位标志，在记录统计数据的同时进行清零判断和操作。本发明直接使用报文分析已提取的报文信息，能够快速准确的检测出流量风暴，并基本不会影响装置的性能。

说明书

技术领域

本发明涉及一种用于网络风暴的检测方法，尤其涉及一种用于智能变电站的网络风暴的实 时快速检测方法。

背景技术

电力系统正朝着智能化方向发展，变电站站控层、间隔层以及过程层的通信网络报文已 经成为变电站智能设备间信息交互和共享的主要方式。智能设备和通信网络的健康状况将直 接影响整个智能变电站的通信，网络报文的发送端、接收端及通信网络异常或故障均可能导 致电力系统重大事故，因此需要网络报文记录装置或数字型录波装置不仅能对报文进行记录 和分析，同时也需要对网络报文进行有效的监视、对网络状态进行实时诊断，提前发现通信 网络的薄弱环节和故障设备，为预防电力系统事故的发生提供判断依据。

当前的报文记录装置中通常会对报文类型或接收端口进行流量统计，在规定时间窗内进 行流量越上限和突变进行检测和报警，缺少错误原因的检测和判断，特别是因同一报文大量 转发造成的网络风暴。当发送端或某个交换转发结点出现故障，同一报文被复制并重复发送， 作为报文记录装置，应当在完整真实的记录报文的同时检测到这种网络风暴，为技术人员排 除故障提供依据。

报文记录与分析装置用于智能变电站的网络通讯系统、通讯过程及各类通讯报文的实时 监听，实时分析及预警，全过程、全景数据及异常事件实时记录。其中，由于报文大量转发 造成的网络风暴是一种常见的网络故障；通常情况下，由于需要对报文数据的内容进行解析， 网络风暴的识别和检测需要较大的计算资源和内存资源。

在现有的网络流量监测技术中，以思科NetFlow为代表的数据包采样算法应用比较广泛， 但大都以内容分析为基础，需要进行协议解析。而变电站中的报文记录装置不是专门的网络 分析设备，所以需要一种快速、简便的方法在流量统计的同时对网络风暴进行检测。

发明内容

本发明为了解决上述问题，提供了一种用于智能变电站的网络风暴的实时快速检测方法， 在网络流量统计基础上不进行网络数据包解析对网络风暴进行快速、准确的识别和告警。

为了实现上述目的，本发明采用如下技术方案：

一种用于智能变电站的网络风暴实时快速检测方法，包括如下步骤：

（1）报文记录与分析装置在收到网络报文数据后，会将报文中的内容提取后进行常规的 协议分析，在提取的报文信息中选取两项能表征该报文特征的信息做为检测项；

（2）将上述检测项分别进行哈希计算，然后将计算结果组合成16bit特征值；

（3）使用网络端口号做为索引，建立统计数据表，统计检测时间窗内具有相同特征值的 报文的流量数据；

（4）记录统计数据的同时，对该特征值对应的流量与设定的告警阈值比较，如果大于该 阈值，则产生包括网络端口号、以及具有该特征值的网络报文的流量值的告警信息；

（5）当统计时间窗结束时，设置清零标记，在记录统计数据的同时做该标记的判定与清 零操作，避免了大块内存的操作，减少对装置正常运行的中断。

本发明的有益效果：

1.本发明能快速检测相同报文，而不用解析和比较报文内容，从而能使报文记录和分析 装置在记录大流量报文的同时实现网络风暴的检测。

2.本发明直接提取报文中的现有信息，避免了对报文协议的解析，不需关注报文内容， 从而不需要额外实现其他协议的支持；另外，也避免了对整个报文进行哈希计算，避免消耗 大量计算资源。

3.本发明使用特征值作为索引的哈希表数组，能够快速直接定位特征值对应的表项，避 免了因特征值检索引入的计算资源。

4.本发明提出对报文信息的特征值再提取方法，大大的减小了统计数据表的容量，如果 使用CRC32作为特征值，每个网口的统计数据表将使用4Gbytes内存；使用再提取技术后， 每网口的数据表为256Kbytes，从而减小内存消耗和内存操作带来的计算开销。

5.使用再提取的特征值，会因哈希运算引入重复率，在结合了两个特征值后，重复率将 减小，且在变电站运行场景中，该重复率不会引入误报。

附图说明

图1为本发明基于网络流量统计的网络风暴的检测方法的模块组成图；

图2为数据统计表结构；

图3为方案实施流程图。

具体实施方式

如图1所示，整体方案由信息提取与特征值计算模块、数据统计模块、以及异常检测模 块组成。

如图2所示，表单使用特征值计算模块输出的16bit特征值作为索引，存储的表项内容为： 流量统计与网口号，分别用于超上限异常检测和告警输入。

如图3所示，首先，系统创建数据统计表，并设置流量阈值；

步骤0301，在网络接收模块接收到网络报文后，信息提取与特征值计算模块启动，从网 络报文中直接提取关键信息；

步骤0302，调用哈希函数1，根据关键信息1计算特征值1；调用哈希函数2，根据关键 信息2计算特征值2；

步骤0303，将特征值1与特征值2组成完整的16bit特征值；

步骤0304，通过网口号和特征值作为索引，定位相应表项，统计具有相同特征值的报文 的流量；

步骤0305，判断是否超过设置的阈值，超过则生成告警信息，包括流量和网口号；

步骤0306，判断时间窗标识，如果时间窗到期，清空相应表项。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限 制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付 出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。